Pretty Good Privacy (PGP) est un programme de chiffrement et de déchiffrement des données qui assure la confidentialité et l'authentification cryptographiques. Ce guide explore les principes du chiffrement PGP, ses applications dans la sécurisation des e-mails et des fichiers, et la manière dont il améliore la confidentialité des données.
Découvrez le processus de gestion des clés et les meilleures pratiques pour mettre en œuvre PGP dans vos communications. Il est essentiel de comprendre le chiffrement PGP pour les particuliers et les organisations qui cherchent à protéger leurs informations sensibles contre tout accès non autorisé.
Comment fonctionne le chiffrement PGP ?
Le chiffrement PGP utilise la cryptographie à clé publique, la cryptographie à clé symétrique et le hachage pour masquer et vérifier les données entre l'expéditeur et le destinataire. Commençons par définir quelques termes qui permettront ensuite de comprendre le fonctionnement de ce système :
- Cryptographie à clé publique – Le destinataire d'un message génère une clé privée qui est gardée secrète et une clé publique qui peut être partagée avec le monde entier. Lorsque quelqu'un crypte un message avec cette clé publique, seule la clé privée du destinataire peut le décrypter. Pour être clair : une clé publique ne peut que crypter un message, mais ne peut pas décrypter ce même message. Ce concept mathématique à sens unique est connu sous le nom de fonction à trappe.
- Cryptographie à clé symétrique – L'expéditeur et le destinataire d'un message disposent tous deux de la même clé (c'est-à-dire symétrique) qui est utilisée pour chiffrer et déchiffrer un message. Il s'agit d'une méthode plus simple et beaucoup plus rapide que son équivalent à clé publique. Cependant, les clés publiques doivent être générées puis échangées pour pouvoir être utilisées. Il est inacceptable de procéder ainsi sur l'Internet public, car cela reviendrait à un espion affichant sa clé de chiffrement sur un tableau d'affichage public (physique) plutôt que de la remettre discrètement.
- Hachage ou fonction de hachage – PGP crée un hachage, ou résumé de message, à partir d'un e-mail, puis crée une signature numérique à l'aide de la clé privée de l'expéditeur. Celle-ci peut ensuite être utilisée pour vérifier que le message provient bien du bon expéditeur.
Comment fonctionne le chiffrement PGP ?
- Le destinataire génère d'abord une paire de clés publique-privée. La clé privée reste confidentielle, tandis que la clé publique est partagée avec l'expéditeur, en partant du principe implicite que n'importe qui d'autre peut l'intercepter.
- L'expéditeur génère une clé de chiffrement symétrique aléatoire et l'utilise pour chiffrer les données à envoyer.
- La clé de chiffrement symétrique est chiffrée à l'aide de la clé publique du destinataire et envoyée (chiffrée) à ce dernier. La clé publique n'est jamais partagée sur l'Internet ouvert.
- Les données, cryptées à l'aide de la clé symétrique, sont envoyées au destinataire.
- Le destinataire reçoit à la fois les données cryptées (symétriquement) et la clé symétrique cryptée (asymétriquement) publique-privée. De cette manière, les données et la clé symétrique sont partagées sans aucune donnée utilisable sur l'Internet public.
- Le destinataire décrypte ensuite la clé de cryptage à l'aide de sa clé privée et les données à l'aide de la clé de cryptage symétrique générée par l'expéditeur.
Bien que le processus puisse sembler compliqué, il est nécessaire de permettre la transmission de données privées dans des espaces publics sans échange initial de codes hors ligne. Il convient de noter que la clé symétrique, également appelée clé de session, est utilisée une seule fois pour le chiffrement/déchiffrement, puis jetée afin d'éviter tout problème de sécurité futur.
Exemples d'utilisation du chiffrement PGP : les outils de chiffrement PGP actuels
Bien que le processus de chiffrement PGP puisse sembler intimidant, la bonne nouvelle est qu'il existe un certain nombre de services et de programmes qui facilitent grandement les choses. Voici quelques exemples notables :
- Plusieurs clients de messagerie – Windows, MacOS, Android, iOS, Linux
- Plugins de navigateur pour webmail – Gmail, GMX, Outlook.com, mailbox.org
- Fournisseurs de messagerie Web (aucun plugin requis) – ProtonMail, Mailfence
Avec ProtonMail, par exemple, les e-mails entre deux utilisateurs de ce service sont automatiquement cryptés de bout en bout. Vous pouvez également envoyer des e-mails protégés par mot de passe à ceux qui utilisent d'autres services de messagerie.
Si les offres actuelles ne répondent pas à vos besoins, sachez qu'en tant que norme ouverte, il est théoriquement possible de développer votre propre service de messagerie électronique ou votre propre " outil " de cryptage à l'aide d'OpenPGP. Cela demanderait toutefois beaucoup de temps et d'efforts, alors espérons qu'un service existant aujourd'hui puisse vous convenir.
À 33 ans, le cryptage PGP peut-il être piraté ?
Bien que le cryptage PGP soit bien établi et ancien, même en termes Internet, il a été constamment révisé et mis à jour au cours de son histoire. On pourrait affirmer que son héritage open source et son perfectionnement le rendent plus fiable que peut-être toute autre méthode de cryptage disponible aujourd'hui.
Dans le même temps, les outils de piratage courants, tels que les enregistreurs de frappe et les logiciels malveillants, peuvent compromettre un système informatique au niveau du cryptage. Si les messages cryptés peuvent être sécurisés, il faut également tenir compte du niveau de sécurité d'un système informatique face aux attaques extérieures, ainsi que de celui de votre ou vos partenaires de communication.
Certains ont également émis l'hypothèse que le développement de l'informatique quantique pratique rendra le cryptage traditionnel obsolète. Bien qu'il existe des moyens théoriques de lutter contre ce problème (théorique), le cryptage sécurisé d'aujourd'hui pourrait ne plus l'être demain, que ce soit par le biais de l'informatique quantique, de vulnérabilités inconnues ou simplement en volant ou en contraignant quelqu'un à divulguer une clé de cryptage privée.
Le cryptage PGP est donc une mesure de sécurité raisonnable à l'heure actuelle. Cependant, la question de savoir si les données transmises seront sécurisées pour toujours reste ouverte.
PGP, norme OpenPGP pour une sécurité Internet renforcée
Pour le transport de messages d'un point A à un point B, PGP et la norme OpenPGP offrent une protection raisonnable qui empêche la lecture des messages s'ils sont interceptés (à moins de l'avènement du décryptage par ordinateur quantique). Cependant, la sécurité des messages en cours de transport n'est qu'une partie du problème.
Si un appareil est compromis à l'une ou l'autre extrémité de la communication par n'importe quel moyen, les messages peuvent également être compromis. Imaginez qu'un keylogger ou un autre logiciel malveillant soit installé sur votre appareil. Même si OpenPGP peut crypter les communications entre la source et la destination, si le message a déjà été compromis, il n'offre au mieux qu'une sécurité incomplète. Pour sécuriser votre réseau et vos appareils, SentinelOne fournit une plateforme qui protège votre organisation contre les menaces, grâce à la plateforme de cybersécurité basée sur l'IA la plus avancée au monde.
Une cybersécurité alimentée par l'IA
Améliorez votre posture de sécurité grâce à la détection en temps réel, à une réponse à la vitesse de la machine et à une visibilité totale de l'ensemble de votre environnement numérique.
Obtenir une démonstrationConclusion
Le chiffrement PGP est utilisé depuis plus de trente ans, à la fois comme logiciel et comme ensemble standard de pratiques de chiffrement. Il utilise la cryptographie à clé publique et la cryptographie à clé symétrique pour transférer des messages sécurisés sur Internet, ainsi que le hachage pour vérifier qu'un message est authentique et n'a pas été altéré. Le cryptage PGP a évolué avec les changements technologiques pour faire face aux nouvelles menaces, ce qui lui permet d'être encore considéré comme sûr aujourd'hui.
"FAQs
Alors que PGP était à l'origine un programme de chiffrement (et est aujourd'hui un ensemble de principes sous-jacents à un système de chiffrement), RSA, l'algorithme Rivest-Shamir-Adleman, est une fonction mathématique utilisée pour le chiffrement à clé publique-privée et la vérification des signatures. RSA est au cœur de nombreux systèmes de chiffrement, y compris la version originale de PGP et SSH.
PGP, développé en 1991 par Phil Zimmerman, est un programme de chiffrement initialement utilisé pour chiffrer les messages envoyés sur les systèmes de babillards électroniques (BBS). Il est depuis utilisé pour crypter des e-mails, des SMS et des fichiers, et est une filiale de Broadcom.
OpenPGP, quant à lui, est une norme de cryptage ouverte, définie par la RFC 4880 (Request for Comment) de l'IETF (Internet Engineering Task Force). PGP, ainsi que d'autres logiciels de cryptage similaires, suivent la norme de cryptage OpenPGP. Cependant, tous les programmes basés sur OpenPGP ne sont pas compatibles.
Oui, le cryptage PGP est toujours très utilisé, ayant évolué au cours des trois dernières décennies pour répondre à de nouveaux défis.
Il existe aujourd'hui une large gamme de logiciels et de services PGP, notamment ceux répertoriés dans la section : Exemples d'utilisation du chiffrement PGP : les outils de chiffrement PGP actuels. En fin de compte, le meilleur outil sera celui qui correspondra à une situation particulière, en offrant un équilibre entre sécurité et facilité d'utilisation.
Pour les communications par e-mail qui doivent absolument rester confidentielles, un programme/une norme de chiffrement tel/telle que PGP est un très bon outil. Cependant, l'envoi de messages cryptés peut entraîner quelques désagréments (heureusement mineurs) tant pour l'expéditeur que pour le destinataire. Au final, il convient de prendre en compte à la fois la commodité et le besoin de confidentialité.